Как тестировать безопасность мобильных приложений
Практика MAST (Mobile Application Security Testing) — ключевой элемент в создании надежных и защищенных продуктов.
— отметил Юрий Шабалин, директор продукта AppSec.Sting.
Цель MAST — помочь разработчикам устранить проблемы безопасности до запуска приложения, тем самым обеспечив защиту пользовательских данных и сохранение целостности приложения.
Разберем процесс по основным шагам:
1️⃣Определение целей тестирования
Четко обозначьте, какие функции и компоненты приложения будут проверяться. Это может быть работа с пользовательскими данными, модули аутентификации, взаимодействие с сервером и многое другое. Ясность целей помогает сфокусировать усилия на критичных зонах.
2️⃣Анализ архитектуры и выявление угроз
Изучите структуру приложения, используемые технологии, сторонние библиотеки и точки интеграции. Выявите потенциальные уязвимости и направления возможных атак.
3️⃣Тестирование уязвимостей
Применяйте комплекс подходов: DAST, SAST, IAST, API ST. Они предоставляют разные данные при анализе приложений. Результаты анализа, полученные от одного метода, дополняют результаты других методов — это позволяет находить более сложные уязвимости с меньшим количеством ложных срабатываний.
4️⃣Приоритизация и исправление уязвимостей
Не все уязвимости одинаковы — оцените их риск и влияние, чтобы понять, какие из них нужно исправить в первую очередь. Важно иметь план действий и отслеживать статус устранения проблем.
5️⃣Регулярный мониторинг и повторное тестирование
Безопасность — процесс непрерывный. После обновлений и изменений в приложении важно проводить повторное тестирование, чтобы поддерживать уровень защиты.
Использование платформы автоматизированного анализа защищенности мобильных приложений AppSec.Sting снижает на 60% затраты на обеспечение безопасности за счет автоматизации и комплексного анализа и упрощает работу с уязвимостями.
#Экспертиза_AppSec #MAST
Практика MAST (Mobile Application Security Testing) — ключевой элемент в создании надежных и защищенных продуктов.
Мобильные приложения можно считать одними из самых недооцененных звеньев в безопасном цикле разработки ПО. Зачастую при анализе защищенности всей системы мобильные приложения или проверяют в последнюю очередь, или не проверяют совсем, забывая при этом, что огромное количество пользователей взаимодействует с системой именно через мобилку. Также часто забывают и об особенностях разработки и дистрибуции мобильных приложений, которые сильно отличаются от привычных серверных частей системы.
— отметил Юрий Шабалин, директор продукта AppSec.Sting.
Цель MAST — помочь разработчикам устранить проблемы безопасности до запуска приложения, тем самым обеспечив защиту пользовательских данных и сохранение целостности приложения.
Разберем процесс по основным шагам:
1️⃣Определение целей тестирования
Четко обозначьте, какие функции и компоненты приложения будут проверяться. Это может быть работа с пользовательскими данными, модули аутентификации, взаимодействие с сервером и многое другое. Ясность целей помогает сфокусировать усилия на критичных зонах.
2️⃣Анализ архитектуры и выявление угроз
Изучите структуру приложения, используемые технологии, сторонние библиотеки и точки интеграции. Выявите потенциальные уязвимости и направления возможных атак.
3️⃣Тестирование уязвимостей
Применяйте комплекс подходов: DAST, SAST, IAST, API ST. Они предоставляют разные данные при анализе приложений. Результаты анализа, полученные от одного метода, дополняют результаты других методов — это позволяет находить более сложные уязвимости с меньшим количеством ложных срабатываний.
4️⃣Приоритизация и исправление уязвимостей
Не все уязвимости одинаковы — оцените их риск и влияние, чтобы понять, какие из них нужно исправить в первую очередь. Важно иметь план действий и отслеживать статус устранения проблем.
5️⃣Регулярный мониторинг и повторное тестирование
Безопасность — процесс непрерывный. После обновлений и изменений в приложении важно проводить повторное тестирование, чтобы поддерживать уровень защиты.
Использование платформы автоматизированного анализа защищенности мобильных приложений AppSec.Sting снижает на 60% затраты на обеспечение безопасности за счет автоматизации и комплексного анализа и упрощает работу с уязвимостями.
#Экспертиза_AppSec #MAST
🔥4
Forwarded from SberHealth IT
Уязвимости в мобильных приложениях, как они выглядят и так ли безопасны приложения для iOS
У нас отличная новость!
Анонсируем еще одного спикера на Mobile Meetup 10 сентября.
К нам присоединился Юрий Шабалин, эксперт в области мобильной безопасности⭐️
В своем докладе Юрий разберет часто встречающиеся уязвимости на примерах реальных мобильных приложений (ни один разработчик не пострадал). Рассмотрит проблемы небезопасного хранения данных: приватные ключи от сторонних сервисов и что с их помощью можно сделать. Поделится, почему не нужно надеяться на защиту ОС, как открыть любой экран в приложении в обход защитных механизмов и почему докладчик так любит Flutter.
В особенности затронем тему iOS: так ли безопасны приложения, как считается и действительно ли там меньше проблем, чем в Android?
👇 Регистрация по ссылке
У нас отличная новость!
Анонсируем еще одного спикера на Mobile Meetup 10 сентября.
К нам присоединился Юрий Шабалин, эксперт в области мобильной безопасности
В своем докладе Юрий разберет часто встречающиеся уязвимости на примерах реальных мобильных приложений (ни один разработчик не пострадал). Рассмотрит проблемы небезопасного хранения данных: приватные ключи от сторонних сервисов и что с их помощью можно сделать. Поделится, почему не нужно надеяться на защиту ОС, как открыть любой экран в приложении в обход защитных механизмов и почему докладчик так любит Flutter.
В особенности затронем тему iOS: так ли безопасны приложения, как считается и действительно ли там меньше проблем, чем в Android?
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤3👍2
Мы создали инструмент SAST нового поколения, который помогает ИБ-командам эффективно справляться с техническим долгом и тысячами неразобранных уязвимостей.
Это универсальный инструмент статического анализа кода, который поддерживает множество языков программирования. Его гибкость проявляется в возможности настройки собственных правил поиска уязвимостей и интеграции как с IDE, так и с CI/CD-конвейерами. AppSec.Wave подходит для проектов любого масштаба: от небольших, где важна скорость и простота, до крупных, требующих сложных и индивидуальных сценариев анализа,
– комментирует руководитель продукта AppSec.Wave Антон Прусак.
Подробнее на CNews
#AppSecWave #SAST
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥18👍7❤5
Что еще?
Виджеты в разделе «Дашборды» стали интерактивными, теперь можно сразу перейти в нужный раздел с фильтром и проанализировать интересующие сработки в деталях
Были переработаны отчеты о сканировании приложений. Изменен дизайн, добавлены данные о лицензиях, появилась возможность включать описания уязвимостей.
В результатах сканирования были добавлены фильтры по времени сканирования, части PURL. Добавлены счетчики созданных и нарушенных политик. Добавлена возможность прямого обращения в службу поддержки при вопросах о деталях обнаруженных уязвимостей.
#AppSecTrack_Релизы
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥5👍3👏3❤2👌2
Согласно исследованию AppSec Solutions, 88,6% Android-приложений содержат уязвимости высокого и критического уровня — это на 33% больше, чем в 2023 году.
Основная тенденция — переход к комплексной, риск-ориентированной стратегии безопасности, которая учитывает не только технические аспекты, но и реальные сценарии атак, важность данных и географические ограничения.
– Юрий Шабалин, руководитель продуктов AppSec.Sting и AppSec.Cryptex
– Никита Пинаев, руководитель отдела анализа защищенности
Вебинар будет полезен специалистам из компаний, чьи приложения обрабатывают чувствительные данные: финтех, e-commerce, здравоохранение и корпоративные сервисы.
#AppSec_Вебинары
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥2
This media is not supported in your browser
VIEW IN TELEGRAM
AppSec.GenAi – это решение, которое позволяет обеспечивать комплексный подход к безопасности больших языковые моделей и генеративных ИИ-систем. Продукт нацелен на поиск уязвимостей и анализ устойчивости ИИ-системы к кибератакам.
Инструмент подходит для языковых моделей, разработанных под задачи любого бизнеса: финтеха, медицинских ИИ-технологий, управления производством или БигТеха.
Мы проверяем все распространенные типы модальностей моделей более, чем 40 типами сценариев. Это позволяет оценить как модель реагирует на небезопасные воздействия, например: отклоняется ли от своих инструкций безопасности, готова ли отвечать на провокационные вопросы и генерировать нежелательный контент. По итогам проверок пользователю доступны несколько типов отчетов, включающих в себя оценку воздействия, рекомендации, а также логи, позволяющие проанализировать поведение модели в момент атаки. Кроме того, сканер может быть интегрирован в процесс разработки на ранних этапах, что позволяет проводить сканирование на уязвимости еще на стадии тестирования моделей, до внедрения в эксплуатацию.
– рассказала Мария Усачева, руководитель продуктов AI Security, AppSec Solutions.
#AppSecGenAI
Please open Telegram to view this post
VIEW IN TELEGRAM
❤8🔥5👍2
На Mobile Meetup 10 сентября Юрий Шабалин, директор по продукту AppSec.Sting, развеял миф о безопасности приложений на платформе iOS.
#экспертизаAppSec #AppSecSting
Please open Telegram to view this post
VIEW IN TELEGRAM
❤6🔥3
Как защитить веб-приложения от уязвимостей с первых этапов разработки?
Множество утечек данных происходит из-за уязвимостей в веб-приложениях. Пока разработчики пишут код, злоумышленники ищут бреши. Какие подводные камни встречаются на каждом этапе разработки? И как управлять процессом, чтобы обезопасить свои приложения?
🎙 Разберем эти вопросы 22 сентября на онлайн-мероприятии "Axoft Студия: Защита Web-приложений: от разработки и до продакшена". В обсуждении примет участие Андрей Юрченко, руководитель группы развития продаж AppSec решений, AppSec Solution, а также эксперты из Axoft, Солар и Лаборатории Касперского.
На круглом столе обсудим:
▶️ Оpen source – друг или враг? Какие подводные камни могут помешать обеспечению безопасности?
▶️ Цикл безопасной разработки – от статичного анализа до безопасности контейнеров
▶️ Что такое ASOC или как эффективно управлять процессом РБПО?
▶️ Актуальность класса решений MAST – почему приложения требуют особого подхода?
▶️ DevSecOps as a Service – целесообразен ли аутсорсинг для безопасной разработки?
▶️ Как на рынок повлиял ГОСТ 56939-2024 «Защита информации. Разработка безопасного программного обеспечения»?
Приходите, чтобы узнать, как выстроить безопасную разработку и защитить свои веб-приложения на всех этапах.
Регистрация🖥
#AppSec_Мероприятия
Множество утечек данных происходит из-за уязвимостей в веб-приложениях. Пока разработчики пишут код, злоумышленники ищут бреши. Какие подводные камни встречаются на каждом этапе разработки? И как управлять процессом, чтобы обезопасить свои приложения?
На круглом столе обсудим:
Приходите, чтобы узнать, как выстроить безопасную разработку и защитить свои веб-приложения на всех этапах.
Регистрация
#AppSec_Мероприятия
Please open Telegram to view this post
VIEW IN TELEGRAM
👍3🔥2
ИИ активно развивается, поэтому разговоров о том, что нейросети смогут полностью заменить программистов, становится всё больше. Руководитель продукта AppSec.Code Евгений Колунтаев, рассказывает, почему это пока невозможно.
Что важно знать:
Как действовать, чтобы не потерять контроль:
Полный разбор читайте по ссылке.
#Экспертиза_AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3👍2👌1
Почему iOS-приложения считаются безопаснее Android? Обсудим 24 сентября на конференции Podlodka iOS Crew.
Эксперт расскажет:
Podlodka iOS Crew — онлайн-конференция про IT c однонедельными интенсивами. Тема нового сезона: «Хакерский iOS»: неофициальные сторы, взлом приложений, обходы ограничений, поиск уязвимостей и мобильная разведка.
#AppSec_Мероприятия #AppSecSting
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥3❤1
This media is not supported in your browser
VIEW IN TELEGRAM
Рассказываем про главные обновления в платформе управления исходным кодом AppSec.Code:
Теперь в аналитике проекта можно следить за:
— количеством функций в кодовой базе,
— количеством строк,
— уровнем цикломатической сложности.
Так вы будете видеть прогресс и динамику изменений в реальном времени.
Мы переработали структуру кода, чтобы продукт развивался быстрее и стабильнее, а командам было проще снижать технический долг, повышать читаемость и тестируемость кода.
Интерфейс стал ещё понятнее и удобнее для всех пользователей.
Подробнее про метрики качества кода смотрите в видео.
#AppSecCode_релизы
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥6👍3❤1
Атаки через цепочку поставок — уже не экзотика, а реальность 2025 года. Взломы подрядчиков стали привычным способом добраться до крупных компаний. «Галочки» в анкетах и сертификаты безопасности больше не спасают, нужна реальная оценка рисков и постоянный мониторинг.
Что важно учитывать:
Безусловно, нужен алгоритм совместных действий в том случае, если на инфраструктуре поставщика произошел инцидент. Исключить такой сценарий невозможно, потому что сегодня злоумышленники, нацеленные на крупные мишени, целенаправленно работают по цепочке поставок. Достаточно вспомнить кейс SolarWinds, но есть и множество других примеров. Вот это нужно обсуждать с поставщиком. Всегда есть SLA по поддержке, но обычно забывают туда включить SLA по выявлению и устранению уязвимостей. А это решается на уровне договора, тем более, если вы технологически более зрелая компания и можете предложить партнеру помощь в сложной ситуации, — отметил Константин Крючков, руководитель продукта AppSec.Track.
Подробнее в Cyber Media.
#Экспертиза_AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥13👍2
5 минут до старта!🎙
Подключайтесь к вебинару «MAST: Встраиваем безопасность мобильных приложений в конвейер разработки ПО» и задавайте вопросы в прямом эфире нашим спикерам.
Подключайтесь к вебинару «MAST: Встраиваем безопасность мобильных приложений в конвейер разработки ПО» и задавайте вопросы в прямом эфире нашим спикерам.
Please open Telegram to view this post
VIEW IN TELEGRAM
Ищем Java-разработчика в команду AppSec.Track
Привет! Я Костя Крючков, руководитель AppSec.Track — инструмента для безопасной работы с Open-Source компонентами и предотвращения атак на цепочку поставок ПО.
🔗 Наш продукт: простой для пользователя, но технологически сложный и обрабатывает огромные объемы данных. Над проектом работает крутая команда бэкенд-, фронтенд-, DevOps-инженеров, тестировщиков и аналитиков.
💻 Сейчас мы развиваем новые фичи и ищем Java-разработчика (Middle+/Senior).
Чем предстоит заниматься:
▶️ Backend-разработка
▶️ Сопровождение и доработка существующего функционала
▶️ Участвовать в создании масштабируемых и безопасных сервисов
Наш стек: Java 8–21, Spring Boot, Micronaut, Python, Angular 17, PostgreSQL, MongoDB, ClickHouse, Redis, RabbitMQ.
🔝 Почему стоит присоединиться:
— Будешь драйвить крутые проекты и фичи
— Работа с классной командой, где каждый любит свое дело — Удаленка/гибрид/офис — выбирай, что удобнее
— ДМС после испытательного срока
➡️ Узнать подробнее и откликнуться.
#AppSecTrack #AppSec_Команда
Привет! Я Костя Крючков, руководитель AppSec.Track — инструмента для безопасной работы с Open-Source компонентами и предотвращения атак на цепочку поставок ПО.
Чем предстоит заниматься:
Наш стек: Java 8–21, Spring Boot, Micronaut, Python, Angular 17, PostgreSQL, MongoDB, ClickHouse, Redis, RabbitMQ.
— Будешь драйвить крутые проекты и фичи
— Работа с классной командой, где каждый любит свое дело — Удаленка/гибрид/офис — выбирай, что удобнее
— ДМС после испытательного срока
#AppSecTrack #AppSec_Команда
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥7
Юрий Шабалин, руководитель продукта AppSec.Sting, в новом выпуске BIS Journal объясняет, как современные DevSecOps-практики помогают соблюдать эти требования без ущерба для скорости и качества разработки.
Стандарт цифрового рубля задает правильные цели: он обеспечивает безопасность и контроль критически важного компонента — Программного модуля Банка России. Для индустрии мобильной разработки это значит не только новые требования, но и возможность использовать существующие технологии, методики и практики для создания эффективных и безопасных решений. Современные DevSecOps-подходы позволяют сочетать регуляторное соответствие, защиту пользователя и высокую скорость разработки, что делает мобильные приложения платформы цифрового рубля надежными и удобными одновременно.
— отмечает Юрий Шабалин.
Из статьи вы узнаете:
Читать
#Экспертиза_AppSec
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥4❤3👍2